Číst v angličtině

Sdílet prostřednictvím

Konfigurace hranice dat

  • Článek

Tato dokumentace obsahuje podrobnosti o tom, jak můžou zákazníci nakonfigurovat Azure Resource Manager pro použití v hranici dat. Jediná konfigurace hranic dat, která je aktuálně podporována, kromě výchozí globální konfigurace, je pro Evropskou unii (EU). Hranice dat EU je geograficky definovaná hranice, ve které se Společnost Microsoft zavázala ukládat a zpracovávat zákaznická data a pseudonymizovat osobní údaje a ukládat data profesionálních služeb pro podnikovou online služby Microsoftu, včetně Azure, Dynamics 365, Power Platform a Microsoftu 365, za omezených okolností, kdy se osobní údaje nadále přenášejí mimo hranice eu. Další informace najdete v tématu Přehled hranice dat EU.

Důležité

Aby zákazníci mohli ukládat data profesionálních služeb v hranici dat EU pro Azure, musí nakonfigurovat Azure Resource Manager na hranici dat EU. Tato dokumentace obsahuje podrobnosti o tom, jak můžou zákazníci nakonfigurovat Azure Resource Manager pro použití v hranici dat EU.

Hranice dat je možné navázat pouze v nových tenantech, kteří nemají žádná existující předplatná ani nasazené prostředky. Jakmile se tenant přihlásí k hranici dat, konfigurace hranice dat se nedá odebrat ani upravit. Předplatná a prostředky vytvořené v rámci tenanta s hranicí dat nelze z tohoto tenanta přesunout. Existující předplatná a prostředky nelze přesunout do tenanta s hranicí dat. Každý tenant je omezen na jednu hranici dat a po nakonfigurování hranice dat Azure Resource Manager omezí nasazení prostředků do oblastí v rámci této hranice. Globální hranice dat nemá žádná omezení oblastí, do kterých se prostředek může nasadit. Zákazníci můžou své tenanty vyjádřit k hranici dat nasazením Microsoft.Resources/dataBoundaries prostředku na úrovni tenanta.

Předdefinovaná DataBoundaryTenantAdministrator role se vyžaduje ke konfiguraci hranic dat. Další informace najdete v tématu Požadovaná oprávnění.

Pokud chcete svého tenanta vyjádřit k hranici dat Azure EU:

  1. Vytvořte nového tenanta v rámci země nebo oblasti EU pro konfiguraci hranice dat Microsoft Entra EU. Další informace o tom, jak vytvořit nového tenanta v rámci země nebo oblasti EU, najdete v tématu Vytvoření nového tenanta v Microsoft Entra ID.
  2. Před vytvořením nových předplatných nebo prostředků nasaďte prostředek Microsoft.Resources/dataBoundaries s konfigurací EU.
  3. Vytvořte předplatné a nasaďte prostředky Azure.

Požadována oprávnění

Ke konfiguraci hranice dat se v oboru tenanta DataBoundaryTenantAdministrator vyžaduje předdefinovaná role. Pomocí následujících kroků přiřaďte roli:

  1. Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu Podrobnosti najdete v tématu Zvýšení úrovně přístupu pro správu všech předplatných Azure a skupin pro správu.
  2. S oprávněním správce uživatelských přístupů udělte sami sobě DataBoundaryTenantAdministrator roli v oboru tenanta (/) pomocí Azure CLI nebo Azure PowerShellu nebo rozhraní REST API.
Azure CLI 
DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID="d1a38570-4b05-4d70-b8e4-1100bcf76d12"

az role assignment create --assignee "{assignee}" --role DATA_BOUNDARY_TENANT_ADMINISTRATOR_ROLE_ID --scope "/"

Další informace najdete v tématu Přiřazení rolí Azure.

Vytvoření hranice dat

Geografická oblast hranic dat má v současné době dvě možnosti:

Geografická oblast hranic dat Popis
Globální Ve výchozím nastavení mají všichni tenanti globální hranici dat.
EU Vytvořit hranici eu pro data.

Pokud chcete tenanta přihlásit k hranicím dat, použijte následující příkazy.

Azure CLI 
az data-boundary create --data-boundary <data-boundary-geo> --default default

Přepínač --default je v současné době povinný, ale v budoucnu bude postupně ukončen.

Další informace najdete v referenčních informacích k Azure CLI.

Čtení hranic dat

Chcete-li získat hranici dat v zadaných oborech. Obory zahrnují:

Obor Hodnota
Tenant (prázdné)
Předplatné subscriptions/{subscriptionId}
Skupina prostředků subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}
Azure CLI 
az data-boundary show --scope <scope-path> --default default

Získání hranice dat tenanta:

Azure CLI 
az data-boundary show-tenant --default default

Přepínač --default je v současné době povinný, ale v budoucnu bude postupně ukončen.

Další informace najdete v referenčních informacích k Azure CLI.

Řešení problému

Následující tabulka uvádí chybové zprávy související s hranicí dat:

Kód chyby Chybová zpráva Vysvětlení
NonEmptyTenantCannotChangeDataBoundary <Název> tenanta tenanta už obsahuje předplatná. Aktualizace hranic dat pro neprázdné tenanty se nepodporuje. Zákazníci můžou použít hranici dat Azure jenom na úplně nového tenanta bez skupin pro správu, předplatných nebo prostředků.
AuthorizationFailed Název> klienta <s ID><objektu nemá autorizaci k provedení akce Microsoft.Resources/dataBoundaries/write nad názvem> oboru oboru <nebo je obor neplatný. Pokud byl přístup nedávno udělen, aktualizujte přihlašovací údaje. Ujistěte se, že máte v oboru tenanta roli Správce hranic dat. Viz Požadovaná oprávnění.
InvalidResourceLocation
InvalidResourceGroupLocation		 Název oblasti> umístění <skupiny prostředků je neplatný. ID tenanta pro dané předplatné se přihlašuje k <datové hranici geografické hranice> dat. Umístění skupiny prostředků je omezeno hranicí dat. Seznam oblastí v hranici dat je: <seznam> oblastí. Jakmile se hranice dat vztahuje na tenanta, můžou uživatelé vytvářet prostředky pouze v oblastech v rámci hranice dat. Uživatelé například nemůžou vytvářet prostředky v oblasti WestUS , pokud se pro tenanta použije hranice dat EU. Pokud chcete tuto chybu vyřešit, vyberte oblast ze seznamu vráceného v chybové zprávě.
InvalidSubscriptionMoveDataBoundary Akce převodu se nezdařila. Přenos tohoto předplatného není povolený kvůli omezením hranic dat v tenantovi. Předplatné není možné přesunout, pokud zdrojová nebo cílová tenanta mají ne globální hranici dat. Přesun předplatného se zablokuje i v případě, že zdroj a cílové tenanty mají stejnou hranici dat.

Další kroky

Další informace najdete v tématu Přehled hranice dat EU.